Zbot SpyEye Vawtrakウイルスの感染経路と対策 【ネットバンク不正送金被害】
ネットバンキングやクレジットカード会社の正規サイトにログインした後、暗証番号/乱数表/合言葉といった情報を送信させる偽画面や偽入力欄が表示される事例が話題になってます。
情報を送信してしまったユーザーの預金が、他人の口座へ送金されたり引き出される事態も確認されてるそうです。また、盗まれた預金を海外に送金するマネーミュールの人材を募集する迷惑メールも確認されてます。
ネットバンキング:不正送金被害が1315件14億円に
警察庁は30日、インターネットバンキングの口座から貯金が知らない間に別口座に移される不正送金事件について、2013年の被害が1315件、14億600万円に上ったと発表した。海外への送金に使われた口座の6割以上が日本人名義だったことも判明。同庁の担当者は「日本人が犯行グループの手足として使われている。どんな事情があっても加担してはいけない」と注意を促している。
同庁によると、被害にあったのは32金融機関の口座で、利用者は全都道府県に及ぶ。ゆうちょ▽みずほ▽三菱東京UFJ▽楽天▽三井住友の5行で被害総額の約86%を占めた。被害額は統計のある11年以降最多で、前年の約30倍となった。 (毎日新聞、2014年1月)
- ★ ネットバンク不正送金被害の原因例:
- 偽メール経由でフィッシング詐欺に引っかかり情報を送信してしまった
- Windowsパソコンがウイルスに感染し情報が引っこ抜かれた ←
- 他で流出したパスワードを使って不正アクセスされた (危険なパスワードの使い回し)
偽画面を表示させる正体は Zbot SpyEye Citadel Vawtrak
これは、ユーザーが使ってるWindowsパソコンが機密情報を盗みとるトロイの木馬ウイルスZeuS(ゼウス)/Zbot(ゼットボット)、SpyEye(スパイアイ)に感染してることが原因と分かってます。
不正画面に暗証番号などが入力されたのは、8つの金融機関で300件以上。
このうち不正送金の被害があったのは6件で、なぜかすべて月曜日と火曜日に集中している。月曜日に不正送金されたのは、みずほ銀行と三井住友銀行で、顧客のパソコンは「ゼウス」と呼ばれるウイルスに感染していた。一方、火曜日は「スパイアイ」と呼ばれるウイルスに感染した楽天銀行とゆうちょ。 (MSN産経ニュース、2013年1月)
ZeuS(画像)や SpyEye(画像)は、どちらもロシア製のウイルス作成ツールです。これ以外に、Zeusをベースにした派生のウイルス作成ツールCitadel(シタデル、画像)やKINSが知られてます。
また、2014年にはVawtrak(ボートラック)というウイルス感染被害が日本で報告されてます。
| ネットバンキングウイルス検出名の例 | |||
|---|---|---|---|
| - | ZeuS/Citadel/KINS | SpyEye | Vawtrak(Neverquest) |
| シマンテック | Trojan.Zbot Trojan.Zbot!gen* |
Trojan.Snifula Trojan.Snifula!gen* |
|
| トレンドマイクロ | TSPY_ZBOT TROJ_ZBOT |
TSPY_SPYEYE TROJ_SPYEYE |
BKDR_VAWTRAK TROJ_VAWTRAK TROJ_PAPRAS |
| マイクロソフト | PWS:Win32/Zbot PWS:Win32/Zbot.gen!* |
Win32/EyeStye | Backdoor:Win32/Vawtrak Behavior:Win32/Vawtrak.gen!* Behavior:Win32/MpTamperSrp |
作成ツールということでウイルスは無限に生み出されるワケで、このようなセキュリティソフトたちの検出をなるべく回避すべく亜種がどんどん投入され、セキュリティ会社とウイルス攻撃者の”イタチごっこ”になってます。
警察庁 @police 講演資料「情報セキュリティ事案の現状 2013年6月24日、26日」から引用
感染マシンを管理する指令サーバーのコントロールパネル ログイン画面 : Zeus / Citadel
◆ Webinject(Webインジェクション)
このウイルスには、Webinject(Webインジェクション)という機能が用意されてます。
ブラウザの画面内に表示されてる正規サイトに、攻撃者が用意した任意のデータを注入でき、たとえば偽のポップアップ画面を表示したり、偽の入力欄を用意したりできるようです。
この攻撃は何年も前から欧米地域で確認されてたみたいで、2012年に日本人を対象としたものが本格上陸となった形です。
銀行などを装った偽メールから特定ページへ誘導するフィッシング詐欺とは異なり、ブラウザのアドレスバーはいちおう正真正銘ホンモノのURLということで、ユーザーは気付きにくいという怖さがあります。
警察庁によると、9日夜の時点で偽画面に関する連絡や相談は大手都銀やネット銀行など7金融機関で計448件あり、うち364件では顧客が個人情報を入力していた。 (朝日新聞、2012年11月)
- インターネットバンキング利用時の勘所(かんどころ)を理解しましょう! (IPA 情報処理推進機構)
- 猛威を振るう Zbot 〜 不正送金を行うマルウェアにご注意ください (マイクロソフト)
- オンライン銀行詐欺ツール「Citadel」:日本での被害増加を確認、国内で2万台以上の感染 (トレンドマイクロ)
- 日本のオンラインバンキング利用者のみを標的にする Zeus (シマンテック)
- インターネットバンキング利用者を狙ったマルウェアの挙動を解析 (セキュアブレイン)
ウイルスの主な感染経路は2パターン
ネットバンキングウイルスの感染経路は主に2パターンあって、2番目の感染被害が特に多いと思われます。
偽メール経由でウイルス感染!
著名な企業を名乗り不特定多数にバラ撒かれる英語表記の偽メールが手元にやってくるパターンです。
”日本語の壁”がありますが、自分と何かしら関わりのある企業だと引っかかる確率が上がるのは言うまでもありません。
● メール内の誘導URLをポチッとクリックした瞬間に強制感染 ⇒ ドライブバイ・ダウンロード攻撃
メール本文中に登場する あらゆるリンクがドライブバイ・ダウンロード攻撃を行うウイルスサイトっ!!! Σ( ̄ロ ̄lll)
アップル? |
ペイパル? |
フェイスブック? |
フェデックス? |
米アマゾン? |
バンカメ? |
アメックス? |
UPS? |
● メールに添付されてる実行ファイルを手動で起動して感染 ⇒ ユーザーの自爆
. 
. 
. 
. 
文書・画像アイコンの偽装は定番! もちろんファイルの拡張子はちゃんと表示するよう設定してあるよネ! (^ー^)b
○ 偽メールから偽銀行サイトへ誘導するフィッシング詐欺も ⇒ ユーザーの自爆
不正送金するためにパスワードやIDなどの利用者情報を盗み取る手口は時期によって変遷している。
6〜9月ごろは、銀行を装ったメールを利用者に送りつけて偽サイトに誘導して、利用者情報を入力させるタイプのフィッシングが主流だった。しかし10〜11月には、銀行の正規サイトを開いた後、利用者情報を入力させる不正なポップアップ画面を表示する手口に移行。 (毎日新聞、2012年12月)
ウイルスはまったく関係ないですが、銀行を名乗る日本語表記の偽メールが不特定多数にバラ撒かれる典型的なフィッシング詐欺も依然として存在します。
サイト経由でウイルス感染!
- 悪意のある第三者にハッキングされてる普通の一般サイトやブログを閲覧した瞬間
- (乗っ取りアカウントから発信される)TwitterやFacebookのようなSNS内の誘導URLをポチッとクリックした瞬間
といった感じで知らないうちに強制感染するパターンです。 ⇒ ドライブバイ・ダウンロード攻撃
. 
日本の改ざんサイト経由でばら撒かれてるダウンローダ型マルウェア Fareit(Tapfer) が落としこんだ Zeus/Zbot
企業や個人が管理してる正規サイトが悪意のある第三者にハッキングされウイルスサイト化… 広告配信サーバーが殺られてしまう事例も報告されてます。
世界中で日常茶飯事に起こってる脅威なのに、いまだに「危険なサイトを見ない」とか「怪しいリンクをクリックしない」といった無理難題が通用すると思ってませか? (ーー;)
Googleの検索結果に警告情報がっ! 改ざんされウイルスサイト化してしまってる”怪しい”一般サイト
『ウイルス感染するのはエッチなアダルトサイトを見てるユーザーだけ! m9(^Д^) 』なんて考えがあるなら、「改ざん お詫び」で検索し戦慄してください。
ドライブバイ・ダウンロード攻撃によるウイルス感染を回避する対策
ネットバンキングウイルスの感染経路の1つとなってるサイト閲覧で強制感染(ドライブバイ・ダウンロード攻撃)は、下の4条件のうち1つ以上当てはまったWindowsパソコンのみ影響があります。 (^O^)b
- Java を旧バージョンのまま放置してる
- Adobe Reader を旧バージョンのまま放置してる
- Flash Player を旧バージョンのまま放置してる
- Windows Update が行われてない
そんなこんなでネットバンキングウイルスを知らずに飼ってるユーザーさんはこんな感じ!
逆に言うと、下のようにウイルス対策バッチリにしておけば被害にあう確率が激減します。ポイントは『ウイルスサイトは運悪く踏んでしまう!』を大前提にした対応をやっておくことです。 (^ー^)v
- 危険な Java は別にいらないのでアンインストール(削除)してある
or Java はちゃんと最新版に更新してある - Adobe Reader はちゃんと最新版に更新してある
- Flash Player はちゃんと最新版に更新してある
- Windows Update は毎月実施されてる
ちゃんと最新版に更新できてますか? 無料バージョン確認ツールで最強ウイルス対策♪
★ ネットバンクウイルスの対策としてセキュリティソフトの購入を誘うだけのページに注意!
セキュリティソフトを導入しても、肝心のウイルス感染経路はまったくふさがらず、根本的なウイルス対策になりません!
こんなユーザーがウイルス感染の餌食にっ!!!
・・・ってことで、たとえば下のようなユーザーさんはZeus/ZbotやSpyEyeを始め、偽セキュリティソフトやランサムウェアなどのいろんな脅威を阻止できないリスクを常に背負ってることになるワケです。
- 出所が分からない作者不明なファイルを安易にバンバン開いちゃう危機感欠如ユーザーさん
- 非現実的な『怪しいリンクはクリックしない♪』『危険なサイトに行かない♪』を口に出して唱える自信過剰ユーザーさん
- ウイルス対策が「
セキュリティソフトの導入」と「Windows Updateの実施」だけで終わってる平和ボケユーザーさん
- あろうことかWindowsパソコン
4番はまだしも、3番ようなユーザーさんも感染被害に巻き込まれます。
| ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー |
| どっちも \(^o^)/ ヤバイ |
| あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー |
ドライブバイ・ダウンロード攻撃を確実に回避する脆弱性対策はできてますか?
あなたのWindowsパソコンにインストールされてるであろう
このような対策ソフトたちは、この対策をユーザーに代わってやらないので、感染経路が開いてる状態だと『知らないうちにウイルスが住み着いてる』な〜んてなトンでも状態が起こっちゃう!
★ 警察庁「インターネットバンキングに係る不正送金事案への対策について」 (PDFファイル)
- ウイルス対策ソフトを導入する
- パソコンのOSや各ソフトウェアを最新の状態にする ← これがてきてないユーザーさんに悲劇が…
- ワンタイムパスワードを利用する
- 不審な入力画面等発見した場合は金融機関等に通報する
